一、情況分析

Netflix信息安全團(tuán)隊(duì)研究員Jonathan Looney發(fā)現(xiàn)Linux以及FreeBSD等系統(tǒng)內(nèi)核上存在嚴(yán)重遠(yuǎn)程DoS漏洞，攻擊者可利用該漏洞構(gòu)造并發(fā)送特定的SACK序列請(qǐng)求到目標(biāo)服務(wù)器導(dǎo)致服務(wù)器崩潰或拒絕服務(wù)。風(fēng)險(xiǎn)等級(jí):高風(fēng)險(xiǎn)。

二、影響范圍

目前已知受影響版本如下：

·FreeBSD 12（使用到RACK TCP協(xié)議棧）

·CentOS 5（Redhat官方已停止支持，不再提供補(bǔ)?。?/p>

·CentOS 6

·CentOS 7

·Ubuntu 18.04 LTS

·Ubuntu 16.04 LTS

·Ubuntu 19.04

·Ubuntu 18.10

安全版本：各大Linux發(fā)行廠(chǎng)商已發(fā)布內(nèi)核修復(fù)補(bǔ)丁，詳細(xì)內(nèi)核修復(fù)版本如下：

·CentOS 6：2.6.32-754.15.3

·CentOS 7：3.10.0-957.21.3

·Ubuntu 18.04 LTS：4.15.0-52.56

·Ubuntu 16.04 LTS：4.4.0-151.178

三、處置建議

升級(jí)您的Linux Server到上述【安全版本】，詳細(xì)操作如下：

   ?【CentOS 6/7系列用戶(hù)】

注：截止文章發(fā)布，CentOS官方暫未同步內(nèi)核修復(fù)補(bǔ)丁到軟件源，建議用戶(hù)及時(shí)關(guān)注補(bǔ)丁更新情況并開(kāi)展相應(yīng)升級(jí)工作。升級(jí)方式如下：

1. yum clean all && yum makecache，進(jìn)行軟件源更新；

2. yum update kernel -y，更新當(dāng)前內(nèi)核版本;

3. reboot，更新后重啟系統(tǒng)生效;

4. uname -a，檢查當(dāng)前版本是否為上述【安全版本】，如果是，則說(shuō)明修復(fù)成功。

?【Ubuntu 16.04/18.04 LTS系列用戶(hù)】

1. sudo apt-get update && sudo apt-get install linux-image-generic，進(jìn)行軟件源更新并安裝最新內(nèi)核版本；

2. sudo reboot，更新后重啟系統(tǒng)生效；

3. uname -a，檢查當(dāng)前版本是否為【安全版本】，如果是，則說(shuō)明修復(fù)成功。

如果用戶(hù)不方便重啟進(jìn)行內(nèi)核補(bǔ)丁更新，可選擇臨時(shí)緩解方案：

運(yùn)行如下命令禁用內(nèi)核SACK配置防范漏洞利用：

sysctl -w net.ipv4.tcp_sack=0

附：參考鏈接：

[1]官方通告：https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md

[2]社區(qū)參考：https://www.openwall.com/lists/oss-security/2019/06/17/5

[3]紅帽公告：https://access.redhat.com/security/vulnerabilities/tcpsack